Suojausryhmät

Suojausryhmä on instansseihin ja kuormantasaajiin liitetty tilallinen palomuuri. Säännöt sallivat saapuvan (ja valinnaisesti lähtevän) liikenteen; kaikki, mitä ei ole nimenomaisesti sallittu, estetään.

Luo sääntöjä

Kohdassa Verkko → Suojausryhmät luo ryhmä ja lisää sääntöjä. Kukin sääntö määrittää:

• Suunta — saapuva (ingress) tai lähtevä (egress).
• Protokolla — TCP, UDP tai ICMP.
• Porttialue — esim. 22, 80, 443 tai alue.
• Lähde / kohde — CIDR (esim. 0.0.0.0/0 mistä tahansa) tai toinen suojausryhmä.

Koska ryhmät ovat tilallisia, sallitun yhteyden paluuliikenne sallitaan automaattisesti — et tarvitse vastaavaa käänteistä sääntöä.

fm network security-group create --name web --vpc my-vpc
fm network security-group rule add web --direction ingress \
  --protocol tcp --port 443 --cidr 0.0.0.0/0

Hyvät käytännöt

• Avaa vain tarvitsemasi portit; suosi kapeita lähde-CIDR:iä mieluummin kuin 0.0.0.0/0.
• Rajoita SSH (portti 22) tunnettuihin hallinnollisiin osoitteisiin.
• Viittaa yhdestä ryhmästä toiseen mallintaaksesi kerroksia (esim. salli web- ryhmän tavoittaa db-ryhmän tietokantaportissa).

Aiheeseen liittyvät

• VPC:t
• Laskenta / Instanssit